当前位置：首页 > news >正文

spring-secrity的Filter顺序+自定义过滤器

news 文章来源：https://blog.csdn.net/qq_34484062/article/details/131982562 2025/2/12 9:39:53

Filter顺序

Spring Security的官方文档向我们提供了filter的顺序，实际应用中无论用到了哪些，整体的顺序是保持不变的:

ChannelProcessingFilter，重定向到其他协议的过滤器。也就是说如果你访问的channel错了，那首先就会在channel之间进行跳转，如http变为https。
SecurityContextPersistenceFilter，请求来临时在SecurityContextHolder中建立一个SecurityContext，然后在请求结束的时候，清空SecurityContextHolder。并且任何对SecurityContext的改变都可以被copy到HttpSession。
ConcurrentSessionFilter，因为它需要使用SecurityContextHolder的功能，而且更新对应session的最后更新时间，以及通过SessionRegistry获取当前的SessionInformation以检查当前的session是否已经过期，过期则会调用LogoutHandler。
认证处理机制，如UsernamePasswordAuthenticationFilter，CasAuthenticationFilter，BasicAuthenticationFilter等，以至于SecurityContextHolder可以被更新为包含一个有效的Authentication请求。
SecurityContextHolderAwareRequestFilter，它将会把HttpServletRequest封装成一个继承自HttpServletRequestWrapper的SecurityContextHolderAwareRequestWrapper，同时使用SecurityContext实现了HttpServletRequest中与安全相关的方法。
JaasApiIntegrationFilter，如果SecurityContextHolder中拥有的Authentication是一个JaasAuthenticationToken，那么该Filter将使用包含在JaasAuthenticationToken中的Subject继续执行FilterChain。
RememberMeAuthenticationFilter，如果之前的认证处理机制没有更新SecurityContextHolder，并且用户请求包含了一个Remember-Me对应的cookie，那么一个对应的Authentication将会设给SecurityContextHolder。
AnonymousAuthenticationFilter，如果之前的认证机制都没有更新SecurityContextHolder拥有的Authentication，那么一个AnonymousAuthenticationToken将会设给SecurityContextHolder。
ExceptionTransactionFilter，用于处理在FilterChain范围内抛出的AccessDeniedException和AuthenticationException，并把它们转换为对应的Http错误码返回或者对应的页面。
FilterSecurityInterceptor，保护Web URI，进行权限认证，并且在访问被拒绝时抛出异常。

自定义过滤器

除了这些过滤器外，我们可能还需要在认证链路中自定义一些过滤器。

oauth2拦截器在初始化完成后，共会生成三个拦截器调用链，分别对应oauth/token等的oauth2认证拦截器调用链，对resource资源访问的拦截器调用链，springsecurity的拦截器调用链。

oauth2认证拦截器调用链

通过AuthorizationServerSecurityConfigurer的addTokenEndpointAuthenticationFilter()方法我们可以在BasicAuticaitonFilter前加入拦截器。

这个过滤器是在ClientCredentialsTokenEndpointFilter之后的，所以，如果想在ClientCredentialsTokenEndpointFilter过滤器之前加过滤器的话，我还没找到方法

@Configuration
public class OAuth2ServerFilterConfig extends AuthorizationServerConfigurerAdapter {@Overridepublic void configure(AuthorizationServerSecurityConfigurer configurer) throws Exception {configurer.addTokenEndpointAuthenticationFilter(oauth2JsonClientAuthFilter());}private Filter oauth2JsonClientAuthFilter() {Oauth2JsonClientAuthFilter oauth2JsonClientAuthFilter = new Oauth2JsonClientAuthFilter();oauth2JsonClientAuthFilter.setAuthenticationSuccessHandler(new AuthenticationSuccessHandler() {@Overridepublic void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,Authentication authentication) throws IOException, ServletException {}});return oauth2JsonClientAuthFilter;}
}

2. resource资源拦截器调用链

@Configuration
public class AuthResourceServerConfigurer extends ResourceServerConfigurerAdapter {@Overridepublic void configure(ResourceServerSecurityConfigurer resources) throws Exception {super.configure(resources);}@Overridepublic void configure(HttpSecurity http) throws Exception {http.authorizeRequests().anyRequest().authenticated();//这个是对所有url都进行拦截，因为没设置发现只有对部分url生效http.requestMatcher(AnyRequestMatcher.INSTANCE);}
}

3.springsecurity认证拦截器

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Beanpublic BCryptPasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}@Overridepublic void configure(HttpSecurity http) throws Exception {//其余代码省略http.addFilterBefore(mutiLoginDemoFilter(httpSecurity), BasicAuticaitonFilter.class);}
}

这里springsecurity的加入的过滤器都比addTokenEndpointAuthenticationFilter加入的过滤器执行晚,通过代码就可以看出：

public final class HttpSecurity extendsAbstractConfiguredSecurityBuilder<DefaultSecurityFilterChain, HttpSecurity>implements SecurityBuilder<DefaultSecurityFilterChain>,HttpSecurityBuilder<HttpSecurity> {@Overrideprotected DefaultSecurityFilterChain performBuild() {//这里获取所有的拦截器，filters.sort(comparator) 将所有的过滤器排序后返回filters.sort(comparator);return new DefaultSecurityFilterChain(requestMatcher, filters);}}public HttpSecurity addFilterBefore(Filter filter,Class<? extends Filter> beforeFilter) {comparator.registerBefore(filter.getClass(), beforeFilter);return addFilter(filter);}

spring-secrity的Filter顺序+自定义过滤器

Filter顺序

自定义过滤器

相关文章：

spring-secrity的Filter顺序+自定义过滤器

leetcode 371. 两整数之和

Medium: Where to Define Qualified users in A/B testing?

POJ 3662 Telephone Lines 二分，最小化第k大的数

【mybatis-plus进阶】多租户场景中多数据源自定义来源dynamic-datasource实现

vue3 async await

CLion远程Linux开发环境搭建及找不到Linux头文件的解决方法

Python综合案例（基本地图使用）

maven的scope总结

Linux执行命令

Nginx 配置中root和alias的区别分析

AP51656 PWM和线性调光 LED车灯电源驱动IC 兼容替代PT4115 PT4205

视频汇聚/视频云存储/视频监控管理平台EasyCVR部署后无法正常启用是什么问题？该如何解决？

Kubernetes v1.25.0集群搭建实战案例(新版本含Docker容器运行时)

RabbitMQ、Kafka和RocketMQ比较

http和https区别，第三方证书如何保证服务器可信

【内网穿透】使用Nodejs搭建简单的HTTP服务器，并实现公网远程访问

Linux中的多线程剖析

uniapp 集成蓝牙打印功能（个人测试佳博打印机）

pdf文件过大如何缩小上传？pdf压缩跟我学

设计模式之建造者模式与原型模式

合并到pdf怎么合并？这个方法了解一下

vue使用jsencrypt实现rsa前端加密

微波系统中散射参量S、阻抗参量Z及导纳参量Y之间的关系及MATLAB验证

发收一体的2.4G射频合封芯片Y62G，内置九齐MCU

深度学习中epoch、batch、step、iteration等神经网络参数是什么意思？

『SpringBoot 源码分析』run() 方法执行流程：（2）刷新应用上下文-准备阶段

WordPress Page Builder KingComposer 2.9.6 Open Redirection

第五章：中国革命新道路

PMP-沟通管理的重要性

怎么用ai做企业网站框架/网络推广用什么软件好

北京住房建设部网站/网建

搜索引擎网站搭建/下载班级优化大师

施工企业负责人培训/官网seo关键词排名系统

网站建设意见征求表/网络推广方案的内容

ih5 做视频网站/贵阳网站建设制作